Опыт организации тестирования безопасности Web приложений Никита Постолакий. Itera Consulting
Аннотация Хочу рассказать про опыт построения процесса полноценного тестирования безопасности Web приложений «с нуля» в нашей компании. Данный доклад будет интересен как тест-лидам и менеджерам, которые давно задумываются про организацию процесса тестирования безопасности web приложений, так и широкому кругу тестировщиков, которым интересна эта область в тестировании. В рамках доклада я расскажу по какой методологии и почему мы решили работать, дам рекомендации по обучающим материалам и книгам, затрону вопросы формирования команды Security тестирования, видов и уровней, на которых мы решили проводить тестирование, расскажу про организацию тестового окружения для обучения, поделюсь информацией о времени потраченном на построение процесса, обучение и первый проект и коротко рассмотрю существующие сертификации по тестированию безопасности и Security аудитам.
Об авторе Никита Постолакий 8+ лет в IT PM проектов по тестированию в Itera Consulting Область интересов: тест дизайн, управление рисками в тестировании, time management Курирую команду тестирования безопасности web приложений
Содержание 1. Задача которую необходимо было решить 2. Определение стратегии Методология OWASP Тестирование безопасности – виды, уровни, области 3. Получение компетенции Учебные материалы Организация тестового окружения для обучения Временные затраты 4. Тестировщики Security – кто они? Несколько советов по построению команды 5. Основные этапы процесса тестирования безопасности Анализ и сбор информации Проведение тестирования безопасности Оценка рисков безопасности и подготовка отчета 6. Сертификации
Задача: построить процесс тестирования безопасности приложений в компании без привлечения экспертов за 6 месяцев
Задача Дополнительные параметры проекта: Виды тестирования безопасности будут определены точнее в ходе проекта Доступна команда из 3 инженеров с частичной загрузкой Процесс тестирования должен охватывать полный спектр активностей «под ключ» Процесс тестирования должен быть достаточно зрелым для продажи клиентам Необходимо определить\разработать методику тестирования и построить процесс Необходимо выбрать инструменты и ПО для проведения тестирования Необходимо подготовить методические материалы – чек-листы, полу- автоматические формы Excel, форматы отчетов, планов, стратегий и.т.д.
Определение стратегии Open Web Application Security Project (OWASP) Что такое OWASP Направления деятельности OWASP Методология тестирования Основные проекты сообщества ПО, разработанное участниками OWASP Книги и учебные материалы Почему мы решили использовать методику тестирования web приложений OWASP
Получение компетенции в тестировании безопасности
Каким бывает тестирование безопасности ПО Уровни тестирования: Тестирование приложения Тестирование окружения Тестирование организации Тестирование черного и белого ящика с точки зрения security Анализ кода Desktop приложения vs Web приложения Мобильная безопасность
Учебные материалы Методологии тестирования безопасности web приложений: OWASP Testing Guide Open Source Security Testing Methodology Manual (OSSTMM) Интерактивные учебные курсы OWASP Web GOAT Книги о тестировании безопасности 1 2 3
Организация тестового окружения для обучения Как огранизовать тестовое окружение для обучения команды и практики на максимально приближенных к реальности примерах. 1. Damn Vulnerable Web Application 2. HACKADEMIC project 3. Web Goat project 4. OWASP Live CD
Временные затраты нашего проекта Обучение Постоение процесса Пилотный проект
Построение команды Кто вам нужен что бы провести тестирование безопасности? Балланс технических знаний и навыков в тестировании Аналитика и навыки менеджера Наше решение
Основные этапы процесса тестирования безопасности
Анализ и сбор информации Цели этапа Задачи и активности Артефакты Выводы
Проведение тестирования Тест стратегия и тест план Требования Тест кейсы Дефекты Тестовое окружение
Оценка рисков и подготовка отчета Понятие риска безопасности Уязвимости, дефекты и риски Методика оценки рисков безопасности OWASP Подготовка отчета о тестировании безопасности
Сертификаты в области тестирования безопасности Сравнительный анализ основных сертификаций: уровень, сложность получения, стоимость, плюсы и минусы
Вопросы?
Контакты и ссылки